malware/trojan - zeus?

[unnoacaso]

comincio con la procedura "Guida alla disinfezione per Infetti"
aggiornerò questo thread dopo ogni passaggio



prima analisi preliminare
- ripristino configurazione di sistema: era già settata su disattiva


open dns: settati (però ho notato che con questi open dns non riesco più ad inviare gli sms gratis dalla mia mail alice quindi finita la disinfestazione dovrò tornare a quelli classici)


atf-cleaner: il link per scaricarlo presente nella guida non funziona più, l'ho preso altrove _ ESEGUITO (anche se non pulisce i file di opera, forse con la nuove versioni del browser è cambiato qualcosa)

malwarebytes: durante la scansione si attivano avvisi avira antivirus (screenshotavira01.JPG) sono costretto a fare elimina altrimenti non prosegue la scansione di malwarebytes. trovati due elementi ed eliminati. LOG=mbam-log-2012-03-24 (12-16-12).txt

Emsisoft Anti-Malware 5.x : mi richiede il service pack 3 per funzionare
a-squared emergency USB: lo scarico ma quando lo avvio dice che è uscito emisoft anti-malware e obbliga a scaricare quello
a-squared Command Line Scanner: questo funziona, ecco il log a_squared_commandline.txt

Kaspersky Virus Removal Tool: ecco il log filtrato kasp filtrato.txt (il link per scaricare parserlog non funziona, fortunatamente già lo avevo nel pc)

DoctorWebCureIt: log filtrato cureit filtrato.txt

Eset SysInspector: log SysInspector-COMPUTER-120327-1249.xml

HiJackThis hijackthis.log

Gmer: la scansione si blocca, non so bene cosa sia successo ma ho trovato il programma chiuso e la finestra di errore windows con errore nel registro di sistema

Prevx 3.0: cliccando su download fa scaricare prevxsafeonline, prevx 3.0 l'ho preso dal link della guida. Schermata= prevx3schermata.JPG Log=prevx.txt

...continua...

[xcdegasp]

per atf-cleaner va rinfrescata la pagina appena viene caricata, il problema è che assegna un token appena la visiti quindi incollando l'url diretto rimane in pancia il token non più valido..

l'antivirus va sempre impostato affinchè non interferisca con gli altri programmi di analisi, quindi devi far ignorare malwarebytes e tutti gli altri tool altriemnti lui intercetta i file prima degli altri programmi

prosegui pure con la guida

[unnoacaso]

finito

[xcdegasp]

per le prossime volte quando pubblichi i log fallo sempre in nuovi messaggi altriemnti diventa un casino
riesegui HiJackThis optando per l'opzione "Scan Only", al termine il pulsante in basso a sinistra si chiamerà "Fix Checked", quindi seleziona le righe da fixare e premi tale tasto.
fixa:

Codice:

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKCU\..\Run: [{328B0CC2-F84C-169C-5687-206E6CD07441}] "C:\Documents and Settings\Utente principale\Dati applicazioni\Qaipoz\puupuk.exe"

fatto questo fai subito una nuova scansione con malwarebytes e poi una completa con avira.
comunque winxp con sp2 non è più considerato sicuro da almeno 2 anni quindi prima lo aggiorni a sp3 e meglio sarà per tutti.

[unnoacaso]

hijack: ho fixato le due voci

malware log: mbam-log-2012-03-29 (12-42-04).txt

avira log: AVSCAN-20120331-092826-6C0606A1.LOG


il primo non trova nulla, mentre avira ha trovato e riparato qualcosa.
che ne dici?
il fatto che gmer si blocchi e non riesce a fare la scansione è un problema? devo riprovare?
ah adesso anche con gli opendns funziona tutto, quindi li lascerò settati.

[xcdegasp]

avira è obsoleto!! disinstalla l'attuale e installa la nuova versione, fai la scansione che richiede, aggiornalo e poi fai una scansione completa e pubblica il log di quest'ultima.
è inutile avere un antivirus settato su "interattivo" fagli mettere i file che identifica in automatico in quaratena così sarà efficace!

ps: se ti chiedesse il SP3 di winXP ovviamente dovrai prima aggiornare winXP a SP3

[unnoacaso]

Ok non è l'ultima versione ma non lo definirei obsoleta, gli aggiornamenti escono regolarmente. Intanto ho cambiato da interattivo ad automatico in quarantena.
Gmer devo riprovarlo?

[xcdegasp]

non è più considerata sicura infatti un semplice malware può raggirarlo, e comunque è più vecchia di un anno (significa che non è la precedente ma quella prima ancora) quella che tu ritieni non obsoleta

[unnoacaso]

ok cerco di aggiornarlo allora. ma la scansione con gmer però devo riprovarla prima di fare la scansione finale con avira?

[foreights]

Ho seguito anch'io la procedura suggerita; purtroppo non sono riuscito a rimuovere questo (credo) trojan che, per conoscenza, qui allego.

E' possibile avere qualche ulteriore indicazione (magari specifica per il tipo di infezione)?

Il S.O. usato è Windows Seven/64 bit. L'antivirus che uso è l'ultima versione di Avira free.

Grazie.

P.S.: sono davvero costernato, dal momento che ci sto particolarmente attento. Ma tant'è, purtroppo.

[xcdegasp]

Quote:

Originariamente inviato da unnoacaso

ok cerco di aggiornarlo allora. ma la scansione con gmer però devo riprovarla prima di fare la scansione finale con avira?

tralascia la scansione con gmer.. se fosse indispensabile avere l'SP3 per l'ultima versione di avira allora installa l'sp3 e poi fai la scansione con avira aggiornato (intendo anche con database aggiornato quindi dovrai farne una ulteriore a quella a cui lui ti obbliga durante l'installazione)

Quote:

Originariamente inviato da foreights

Ho seguito anch'io la procedura suggerita; purtroppo non sono riuscito a rimuovere questo (credo) trojan che, per conoscenza, qui allego.

E' possibile avere qualche ulteriore indicazione (magari specifica per il tipo di infezione)?

Il S.O. usato è Windows Seven/64 bit. L'antivirus che uso è l'ultima versione di Avira free.

Grazie.

P.S.: sono davvero costernato, dal momento che ci sto particolarmente attento. Ma tant'è, purtroppo.

segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti. GRAZIE

[unnoacaso]

ho installato avira 10.2 del 25/01/2012, però ho un problema: quando parte la scansione si apre la finestra di installazione nuovo hardware "Copia replicata volume generico". Io faccio "annulla" ma in questo modo la scansione non va avanti. In pratica la stessa cosa descritta qui: http://forum.core-ita.com/showthread...a-Antivir-Free

[xcdegasp]

siamo ad avira 2012 spero sia questa che hai installato:
http://download.html.it/software/ved...ree-antivirus/

segui questa guida per impostarlo a dovere: http://www.hwupgrade.it/forum/showthread.php?t=1514684

[unnoacaso]

a quel link vedo solo dettagli per la configurazione della premium security suite e non dell'antivirus. comunque non credo sia un problema di configurazione la storia del ""Copia replicata volume generico", provo a disinstallare antivir e rimettere tutto da capo.

[foreights]

Quote:

Originariamente inviato da xcdegasp

tralascia la scansione con gmer.. se fosse indispensabile avere l'SP3 per l'ultima versione di avira allora installa l'sp3 e poi fai la scansione con avira aggiornato (intendo anche con database aggiornato quindi dovrai farne una ulteriore a quella a cui lui ti obbliga durante l'installazione)


segui la semplice procedura descritta in Guida alla Disinfezione per Infetti e pubblica tutti i log richiesti in un nuovo thread facendo attenzione alle Regole di Sezione, così potremmo aiutarti. GRAZIE

Grazie.

[unnoacaso]

niente, non c'è verso di farlo andare.
credo di avere un problema abbastanza irrisolvibile con la nuova versione di antivir, come emerge anche da questa discussione che ho trovato: http://forum.avira.com/wbb/index.php...hreadID=129028

[xcdegasp]

quella discussione è di un anno fa ed è relativa al passaggio da avira v9 a v10, tu già possiedi avira v10, devi solo disinstallarla e passare alla v2012..
sei anche libero di cambiarla, cioè nessuno ti obbliga a restare con avira

[unnoacaso]

la discussione sarà anche vecchia ma il problema per me è attuale. finche usavo avira 9 non ho mai avuto nemmeno mezzo problema, invece aggiornando mi succede questo.
nel frattempo la situazione è peggiorata, visto che non potevo usare avira per la scansione ho tolto tutto e ho messo avast. all'inizio tutto ok, poi oggi volevo fare appunto la scansione completa invece ogni volta che accendo il pc dopo qualche minuto mi appare una finestra con conto alla rovescia "il sistema sta per essere arrestato ntautorithy system ecc ecc", in pratica quello di cui si parla qui:
http://www.hwupgrade.it/forum/showthread.php?t=1597177
dopo che blocco il conto alla rovescia non riesco a fare scansioni ne con avast ne con malwarebytes.
quindi ho provato due scansioni con avira antivir rescue system e kaspersky rescue disk 10 ma entrambe non trovano nulla e il problema permane.
avira rescue system log: rescue-system_scan.log
kaspersky rescue disk log: kasprescue.txt

edit: ho provato a far partire il pc in modalità provvisoria per vedere se riuscivo a fare le scansioni, invece non riusciva ad avviarsi e dopo il tentativo non si avvia proprio più nemmeno in modalità normale, appare la classica schermata blu ma per un periodo brevissimo, non si fa nemmeno in tempo a leggere cosa c'è scritto.

edit2: risolto il problema dell'avvio pc con disco di windows, console di ripristino, chkdsk /r. ora si avvia normalmente, rimane ovviamente il problema "il sistema sta per essere arrestato ntautorithy system ecc ecc"

edit3: il problema dipendeva da avast, disinstallato tutto funziona come prima. ora ho da provare solo avg.

[xcdegasp]

puoi installare sp3 intanto?

[unnoacaso]

avg sembra funzionare bene, ho fatto scansione completa e trova qualcosa, log: avg.csv